Honeypot Captcha: So funktioniert die DSGVO-konforme reCAPTCHA Alternative für Shops
In der Onlinewelt gehören Spam und Bot-Angriffe leider mit dazu. Wir können sie nicht vermeiden, aber wir können uns vorbereiten. Besonders für E-Commerce Unternehmer:innen kann das ein sehr nerviges Thema sein.
In diesem Artikel stelle ich dir eine bessere und DSGVO-konforme reCaptcha Alternative namens Honeypot Trap, bzw. Honeypot Captcha (übersetzt: Honigtopf Falle) vor. Eine einfache und wirksame Methode, die auch ohne solche nervigen Abfragen für User funktioniert.
Warum Honeypot Captchas wichtig sind
Kommt es zu einem Angriff, arbeiten Bots gerne lange Listen mit geklauten Kreditkarten ab, von denen ein Großteil meist vom Zahlungsdienstleister abgefangen wird. Leider rutscht hier ein Teil manchmal trotz Abwehrmethoden dennoch durch. Wer Pech hat, verschickt hier (automatisiert) Ware und bekommt sein Geld dafür garantiert nie!
Um das zu verhindern, wurden klassissche Captchas erfunden.
Leider sind die nicht nur hässlich und nervig für Nutzer und Kunden, sondern i.d.R. auch nicht DSGVO-konform einsetzbar. Informiere dich hier ggf. bei einem Datenschutzbeauftragten.
Falls du dich zusätzlich vor DDoS (Traffic) Attacken schützen möchtest, empfehle ich diesen Artikel:
Was ist ein Honeypot Captcha?
Ein Honeypot Captcha ist eine Methode zur Spam-Abwehr, die eine Art unsichtbare Falle für Bots darstellt. Im Gegensatz zu herkömmlichen Captchas, die oft als kleine Rechenaufgabe oder eine Reihe von Buchstaben und/oder Zahlen am Ende eines Onlineformulars erscheinen, ist ein Honeypot Captcha für den menschlichen Benutzer unsichtbar.
Es handelt sich dabei um ein Formularfeld, das mittels CSS und JavaScript ausgeblendet wird. Für den Menschen ist das Formular also nicht sichtbar. Bots wiederum "stolpern" gerne darüber und versuchen das Feld auszufüllen, und werden als solche entlarvt (und blockiert).
In meinem eigenen Shop hatte ich als Beispiel die Falle bereits auf der Produktseite aktiviert. Bevor der Bot das Produkt auswählt und in den Warenkorb legt, wird er versuchen, das Honeypot Captcha Feld zu füllen.
Der Vorteil: Die Ware landet gar nicht erst im Warenkorb und wird ggf. auch nicht im Bestand für andere Nutzer blockiert.
Warum ein Honeypot Captcha besser als herkömmliche Captchas ist
Die Verwendung von Honeypot Captcha hat mehrere Vorteile gegenüber herkömmlichen Captchas.
Erstens, ist es für den Benutzer völlig unsichtbar und erfordert keine Interaktion, was die Benutzerfreundlichkeit und Barrierefreiheit erheblich verbessert.
Zweitens, ist es eine DSGVO-konforme Lösung, da keine personenbezogenen Daten gesammelt werden.
Drittens, ist es effektiv gegen die meisten Spam-Bots, da diese in der Regel alle Felder ausfüllen und nicht erkennen können, ob ein Feld für menschliche Augen ausgeblendet wurde.
Wie implementiert man ein Honeypot Captcha?
Die Implementierung eines Honeypot Captcha ist (eigentlich) relativ einfach. Zunächst erstellt man ein zusätzliches Formularfeld, das dann mittels CSS und JavaScript für den menschlichen Benutzer unsichtbar gemacht wird.
Dieses Feld sollte einen allgemeinen und einfachen Namen wie "E-Mail" oder "Telefon" haben, damit Bots davon ausgehen, es handelt sich um ein reguläres Feld. Wichtig ist auch, dass die Autovervollständigung für dieses Feld deaktiviert wird, damit es nicht versehentlich von einem Nutzer ausgefüllt werden kann.
Auf Serverseite muss dann überprüft werden, ob das Honeypot-Feld ausgefüllt wurde, und wenn ja, sollte die Formulareinreichung abgelehnt werden.
Für unterschiedliche Shopsysteme gibt es bereits fertige Lösungen.
Honeypot Captcha für WooCommere / Wordpress
Ich hab einige Honeypot Captcha Plugins für WooCommerce getestet und kann WPArmour* empfehlen. Wer nur Kommentare und Kontaktformulare schützen will, kann das auch mit der kostenlosen machen. Für einmalig 19,99 USD kannst du mit der Extended Version auch WooCommerce damit absichern und Bots aussperren, die versuchen, Bestellungen zu tätigen.
Honeypot Captcha für Shopify
Wer seinen Shopify Shop mit der Honeypot Methode sichern will, kann entweder Apps wie Ellipsis nutzen oder eine Lösung von einem Entwickler bauen lassen.
Frag dazu am besten bei Plattformen wir heyCarson* oder Storetasker* an, oder wende dich an Freelancer oder Agenturen, die Shopify Shops erstellen.
Fazit
Honeypot Captcha ist eine effektive und benutzerfreundliche Alternative zu herkömmlichen Captchas. Der Mechanismus ist einfach, aber sehr wirksam, und sollte daher im Sicherheit-Mix einfach mit eingebaut werden.
Eine Alternative zu Honeypot Captcha ist übrigens Friendly Captcha. Hier wird während des Formularausfüllens eine Art Puzzle erstellt und im Hintergrund gelöst. Da auch hier keine Cookies verwendet werden, ist das aus Datenschutzsicht ebenfalls sauber.
Die Implementierung ist aufgrund der Rechenoperation jedoch etwas umständlicher. Friendly Captcha ist eine Open Source Lösung (hier zum Download), kann aber auch kostenpflichtig als Service gebucht werden.
Kein Spam, keine Weitergabe an Dritte. Nur du und ich.